抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考

セキュリティの根本的な考え方を変えなければならない時期に来たと思っています。

証券会社、保険会社、自衛隊・・・今年も大きな漏洩事件がありました。内部からの漏洩です。被害の大きさ、イメージ失墜を考えれば、犯行報酬と比較しても「まったく合わない」です。懲役も2年ちかくになりました。

しかし、これらの事件でもセキュリティ対策はされていた。はずです。技術的な防止や、業務プロセスなど、やりにくい環境もあった。はずです。

セキュリティ思考で間違っていると思うものに、防止策があります。防止の有効性の限界を知らなければ、防止の効果も対策も思った通りに機能しません。これは監視カメラの死角と同じです。見えない場所があるのです。

防止策は、極端な言い方をすれば、「子供に火遊びはいけない!」と言っていることと変わりません。確かに火遊びは危ないので「いけない!」と教えなければなりませんが、「なぜいけないのか」の説明がないままに、ダメ!ダメ!の連発では、余計に好奇心が煽られます。

火遊びが出来なくする環境作り。例えば、マッチやライターなどを届かない場所に置く。隠しておく。。。など、方法はありますが、これだけでは「火遊びがいけない」理由もわからず、「やりにくい環境」しかありません。

セキュリティにおいても、「いけない」「できない」環境は必要です。ただ、これだけでは「なぜダメなのか?」を理解しないままに・・・なってしまいます。

火遊びをすると・・・「こんなことになってしまう」イメージや実例を教える、知らしめなければ、根本的な原因はなくなりません。
どうなるか?わからないから・・・つい。。。やってしまうのです。頼まれてもやりたくいと思う、最悪な結果をイメージしなければなりません。情報漏洩でも同じようなものです。

USBメモリーの使用を制御するためには、防止もいいですが、物理的使えない方法を提供するべきです。USBを塞ぐ方法などです。これは、塞がれているので使うことが出来ません。持ち出しにも使えませんが、他のUSB機器(マウス)なども使うことが出来ません。ここまでするのならば、防止効果も最大限に発揮できるでしょう。

これが「どれほど無茶なことか・・・」本来のUSBの意味がなくなってしまいます。なので、折衷案として防止制御になっています。

常に色々なことを考えていますが、最終的に私の考えるセキュリティは「抑止」になりました。

抑止で防止は出来ません。セキュリティ事故のほとんどは人災です。出来ないとわかっていても、出来る方法はあります。これは、防御側よりも攻撃側のが強いのと同じです。どれほどの防止策を施しても、回避策を探すほうが簡単なのです。

しかし抑止は「心理的」に働きます。

防止できないものでは「意味がない」とよく言われますが、本当でしょうか?

セキュリティがセキュリティのために行われているから、意味がなくなっているのでは?と思うのです。

だから「どうなっているのか?」「どうなってしまうのか?」・・・対象者に、はっきりと見えない「抑止」が最大の効果を発揮するのです。

抑止効果のポイントは、

 1.防止には、きりがない。

 2.抑止対策はされているらしい。何か見えないけど、何かされている状態って嫌らしい状態を保つ。

 3.その結果イメージを鮮明に持てる。

セキュリティ以外でも有効なもの、これはマネジメントです。

どうなってしまうのか?鮮明なイメージを持たなければ、問題はなくなりません。教える、伝える責任もあると考えます。

心理的に影響することが、抑止効果です。なんでセキュリティなんか考えなければいけないのか?と誰しもが思っていることです。ダメ!ダメ!と言われているから。。。よりも、「自らやりたくないと思うこと」に向けていく。これこそが抑止効果と思っています。

セキュリティを抑止に向かせなければ、どれだけ教育、啓発をしても、対岸の火事だったり、自分には関係ない・・・上辺だけの効果がないものにしかなりません。傷に染みこむように伝わりません。

本来のセキュリティ思考、今一度考えてみませんか?

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

セキュリティ教育標語読本(意識改革教育教材)

情報セキュリティ標語読本は、セキュリティ標語教材の基本となります。

50音の情報セキュリティ標語「あ~ん」までの45個を 、日常のビジネスシーンにある16のカテゴリー(行動・確認・パスワード・操作・規則・盗難・ウィルス・ゴミ・トレードオフ・なりすまし・メール・他人・リサイクル・メモ・紛失)

に分類し、短い言葉で日常の中にある「情報セキュリティの気づき」を込めました。

セキュリティ標語の元となった事例、注意ポイント、プロの視点から構成されます。

情報セキュリティやコンプライアンスの要素を、標語としてノウハウを詰めた読本です。

2 thoughts on “抑止で防止はできませんが、防止よりは「心理的」に影響する抑止セキュリティ思考

  1. 新倉 茂彦 より:

    M.Gさん、コメントありがとうございます。
    仰る通りです。画像にしても、画面に表示される以上は「どこかに」あるわけで、完全防止は難しいと思います。
    クリックできないようにすることで、ちょっと警戒したり、なぜ?と考えたり・・・ですよね。
    防止策だけでなく、抑止策との複合技が、最大の効果を発揮できると思っています。

  2. M.G より:

    確かに「抑止」のほうが結果的に効果がある場合が多いですよね。
    例えば「画像の転用を防ぎたい」としてJavaScriptで「右クリックは出来ません」と出すようにホームページに細工しておくというのも「抑止」といえますね。
    ※実際にはこれは「右クリックが利かない」=「ダウンロードできないんだ」と思い込むような「右クリックでのダウンロード法を覚えたばかりのインターネット初歩者」向けの細工であって「画像が表示されている」以上はダウンロードされているので「インターネット一時ファイル」の開け方を知っている人が相手であれば意味はないのだが…でも一応そういう人でも「ページ作者の狙い」はどこにあるのか判ると思います。

この投稿はコメントできません。